设置 Amazon VPC 以通过建立从 AWS Glue 到 Amazon RDS 数据存储的 JDBC 连接 - AWS Glue

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 Amazon VPC 以通过建立从 AWS Glue 到 Amazon RDS 数据存储的 JDBC 连接

使用 JDBC 连接到 Amazon RDS 中的数据库时,您需要执行额外的设置。要允许 AWS Glue 组件与 Amazon RDS 进行通信,您必须在 Amazon VPC 设置对 Amazon RDS 数据存储的访问权限。要支持 AWS Glue 在其组件之间通信,请为所有 TCP 端口指定一个具有自引用入站规则的安全组。通过创建自引用规则,您可以将源限制为 VPC 中的同一安全组。自引用规则不会向所有网络开放 VPC。VPC 的默认安全组可能已经为所有流量设置了自引用入站规则。

在 AWS Glue 和 Amazon RDS 数据存储之间设置访问权限
  1. 登录 AWS Management Console 并打开 Amazon RDS 控制台,网址为 https://console.aws.amazon.com/rds/

  2. 在 Amazon RDS 控制台中,找到用于控制 Amazon RDS 数据库访问权限的安全组。

    在左侧导航窗格中,选择数据库,然后从主窗格的列表中选择要连接的实例。

    在数据库详细信息页面中,在连接和安全选项卡上找到 VPC 安全组

  3. 根据您的网络架构,确定哪个关联安全组最适合修改以允许 Glue AWS 服务访问。保存其名称,database-security-group以备将来参考。如果没有合适的安全组,请按照 Amazon RDS 文档中通过创建安全组提供对 VPC 中的数据库实例的访问部分的说明操作。

  4. 登录 AWS Management Console 并打开亚马逊 VPC 控制台,网址为 https://console.aws.amazon.com/vpc/

  5. 在 Amazon VPC 控制台中,确定如何更新database-security-group

    在左侧导航窗格中,选择安全组,然后database-security-group从主窗格的列表中进行选择。

  6. 识别database-security-group、的安全组 ID database-sg-id。保存以备将来参考。

    在安全组详细信息页面中,找到安全组 ID

  7. 更改的入站规则 database-security-group,添加自引用规则以允许AWS Glue组件进行通信。具体而言,请添加或确认有一条规则,其中 “类型” 为All TCP“协议”TCP,“端口范围” 包括所有端口,“” 为database-sg-id。确认您为输入的安全组正是您正在编辑的安全组。

    在安全组详细信息页面中,选择编辑入站规则

    入站规则类似于以下内容:

    类型 协议 端口范围 来源

    所有 TCP

    TCP

    0–65535

    database-sg-id

  8. 添加出站流量规则。

    在安全组详细信息页面中,选择编辑出站规则

    如果您的安全组允许所有出站流量,则不需要单独的规则。例如:

    类型 协议 端口范围 目标位置

    所有流量

    ALL

    ALL

    0.0.0.0/0

    如果您的网络架构旨在限制出站流量,请创建以下出站规则:

    创建自引用规则,其中 “类型” 为All TCP“协议”TCP,“端口范围” 包括所有端口,“目标” 为。database-sg-id确认您为目标输入的安全组正是您正在编辑的安全组。

    如果使用 Amazon S3 VPC 端点,添加 HTTPS 规则以允许从该 VPC 到 Amazon S3 的流量。创建一个规则,其中类型HTTPS协议为,端口范围TCP目标443 Amazon S3 网关终端节点 s 3- 的托管前缀列表的 ID prefix-list-id。有关前缀列表和 Amazon S3 网关端点的更多信息,请参阅 Amazon VPC 文档中的 Amazon S3 网关端点

    例如:

    类型 协议 端口范围 目标位置

    所有 TCP

    TCP

    0–65535

    database-sg-id

    HTTPS

    TCP

    443

    s3-prefix-list-id